Et la tendance est importante : le délai moyen de correction des vulnérabilités critiques en matière de cybersécurité est passé de 197 jours en avril 2021 à 205 jours en mai 2021.
Selon un nouveau rapport de WhiteHat Security, le délai moyen de correction des vulnérabilités critiques en matière de cybersécurité est passé de 197 jours en avril 2021 à 205 jours en mai 2021.
Dans son rapport AppSec Stats Flash, les chercheurs de WhiteHat Security constatent que les organisations du secteur public sont les plus exposées aux vulnérabilités de leurs applications.
Selon le rapport, plus de 66 % de toutes les applications utilisées par les organisations du secteur public présentaient au moins une vulnérabilité exploitable ouverte tout au long de l’année. Setu Kulkarni, vice-président de WhiteHat Security, a déclaré que plus de 60 % des applications dans l’industrie manufacturière avaient également une fenêtre d’exposition de plus de 365 jours.
« La finance a une fenêtre de perspective d’exposition beaucoup plus équilibrée »
« Dans le même temps, un très petit nombre d’applications ont une fenêtre d’exposition inférieure à 30 jours, ce qui signifie que les applications pour lesquelles des vulnérabilités sérieuses exploitables sont corrigées en moins d’un mois », explique Setu Kulkarni, notant que les secteurs de la finance et de l’assurance font un meilleur travail de correction des vulnérabilités.
« La finance a une fenêtre de perspective d’exposition beaucoup plus équilibrée. Environ 40 % des applications ont une WoE (Windows of Exposure – fenêtre d’ouverture) de 365 jours, mais environ 30 % ont une WoE de moins de 30 jours. »
Selon Setu Kulkarni, la société a décidé de passer d’une publication annuelle du rapport à une publication mensuelle en raison du nombre considérable de nouvelles applications développées, modifiées et déployées, en particulier depuis le début de la pandémie de Covid-19. Le paysage des menaces a également évolué et s’est étendu parallèlement à l’explosion du développement des applications.
« Nous considérons la fenêtre d’exposition par secteur comme une mesure indicatrice de l’exposition à la violation »
Setu Kulkarni note que la situation a mis en lumière le manque de talents en matière de cybersécurité dont disposent la plupart des organisations et le manque général de ressources pour de nombreuses industries qui s’efforcent de gérer les mises à jour et les correctifs pour des centaines d’applications.
« Nous considérons la fenêtre d’exposition par secteur comme une mesure indicatrice de l’exposition à la violation. Lorsque vous regardez des industries comme les services publics ou la fabrication qui ont été à la traîne dans la transformation numérique par rapport à la finance et à la santé, nous constatons qu’ils ont des données de fenêtre d’exposition dans un déséquilibre complet », explique Setu Kulkarni à ZDNet.
« La principale conclusion à tirer de ces données est que les organisations qui sont capables d’adapter leur programme AppSec pour répondre aux besoins des applications anciennes et nouvelles réussissent beaucoup mieux à équilibrer la fenêtre d’exposition de leurs applications. C’est ce que j’appelle l’AppSec à deux vitesses : se concentrer sur les tests et les mesures d’atténuation en production pour les anciennes applications ; se concentrer sur les tests de production et de préproduction et équilibrer les mesures d’atténuation et de remédiation pour les nouvelles applications. »
« La sécurité est un sport d’équipe »
Aujourd’hui, chaque application est connectée à internet, directement ou indirectement, ajoute Setu Kulkarni, expliquant que cela signifie que l’impact des vulnérabilités peut potentiellement toucher des centaines de milliers d’utilisateurs finaux, voire des millions.
Setu Kulkarni suggère aux organisations de répartir plus largement la responsabilité de la sécurité entre toutes les parties prenantes, au-delà des seules équipes de sécurité et d’informatique, qui manquent souvent de budget ou de ressources pour gérer la sécurité de manière méticuleuse.
« La sécurité est un sport d’équipe et pendant longtemps, une part disproportionnée de la responsabilité a été placée sur les équipes de sécurité et d’informatique. »
« Les équipes de développement sont pressées par le temps et ne sont pas en mesure de suivre plusieurs heures de formation ponctuelle sur la sécurité. Une meilleure approche consiste pour les équipes de sécurité à identifier les une à trois principales vulnérabilités qui ont tendance à apparaître dans les applications qu’elles testent et à fournir aux équipes de développement des formations de petite taille axées sur ces vulnérabilités. »
Source : ZDNet.com